數據合規:數據跨境提供合規分析
作者:王文祥 2022-01-29經濟的全球化必然導致數據傳輸的全球化。無論是跨境人員流動和管理、技術交換,還是國際貨物貿易,都免不了數據的跨境傳輸。然而,隨著數據存儲和數據分析技術的突飛猛進,數據價值被再次發現,數據逐漸成為國家和企業的重要資產。2021年12月21日發布的《國務院辦公廳關于印發要素市場化配置綜合改革試點總體方案的通知》明確將數據作為經濟要素之一,并強調加強數據安全保護,探索數據跨境流動管控方式,完善重要數據出境安全管理制度。在這樣的時代背景下,法律對數據存儲和數據跨境提供(亦稱“數據出境”)的監管要求日趨嚴格和復雜。因此,筆者對目前已經生效的主要法律法規及發布的征求意見稿進行了梳理,以期為企業在經營過程中開展數據出境提供一定的幫助和指引。
一、 數據本地化存儲與數據出境的關系 數據本地化存儲指數據在所產生或收集的國家境內存儲。對中國而言,即指在中國境內產生或收集的數據應在中國境內存儲。通常情況下,數據本地化存儲和數據出境的約束規則是相伴而生的。如法律法規要求數據本地化存儲,則該等數據的跨境提供將在一定程序上受限。相反,如法律法規對某類數據的出境作出了限制性規定,則不滿足條件的情況下,該等數據只能進行本地化存儲。目前,我國法律對一些特殊行業的數據或一些特殊類型的數據作出了明確的本地化存儲的規定,主要如下: 從上述規定可以看出,金融、醫療健康、地圖、出版、汽車等重要行業的專門規定都明確要求數據在中國境內存儲。從宏觀層面看,數據本地化存儲是各國維護國家安全、保護國家數據資產的重要措施。對企業合規而言,實施本地化存儲更符合未來的監管趨勢。譬如公安部網絡安全保衛局、公安部第三研究所和北京市網絡行業協會發布的《互聯網個人信息安全保護指南》中建議在境內運營中收集和產生的個人信息應在境內存儲,如需出境應遵循國家相關規定。因此,企業實施數據本地化存儲有利于在中國持續性開展業務,避免因數據存儲不合規導致業務受影響。 二、 數據出境的合規要求 數據本地化存儲雖然能最有效地降低風險,但企業因業務必要確需向境外提供數據時,如何合法合規開展數據出境則成為企業必須重視的問題。目前的立法體系下,《網絡安全法》和《個人信息保護法》在法律層面對數據出境進行了原則性規定,網信部門在該兩部法律的基礎上起草了諸多法規征求意見稿,包括: 《個人信息和重要數據出境安全評估辦法(征求意見稿)》 《個人信息出境安全評估辦法(征求意見稿)》 《數據安全管理辦法(征求意見稿)》 《數據出境安全評估辦法(征求意見稿)》 《網絡數據安全管理條例(征求意見稿)》 其中《個人信息和重要數據出境安全評估辦法(征求意見稿)》、《個人信息出境安全評估辦法(征求意見稿)》及《數據安全管理辦法(征求意見稿)》發布于2017年和2019年,但一直未正式頒布,且后續發布的《數據出境安全評估辦法(征求意見稿)》、《網絡數據安全管理條例(征求意見稿)》對前述征求意見稿的內容存在替代的可能;因此,筆者僅基于《網絡安全法》、《個人信息保護法》及2021年發布的《數據出境安全評估辦法(征求意見稿)》(以下簡稱“《評估辦法》”)、《網絡數據安全管理條例(征求意見稿)》(以下簡稱“《數據安全條例》”)對數據出境的合規要求進行簡要分析。 對數據出境規則的考察可以從數據分類的角度切入,從目前的立法來看,主要規范的數據類型為個人信息和重要數據,有法規征求意見稿出現了核心數據的概念。不同數據類型的出境合規要求具體如下: (一)個人信息出境合規要求 基于《個人信息保護法》,個人信息出境至少應滿足如下合規要求: 1.針對數據出境行為取得了適當的合法性基礎,即具有《個人信息保護法》第13條規定的合法性基礎。 2. 滿足《個人信息保護法》第38條規定的任一條件,包括安全評估、個人信息保護認證、訂立合同或其他條件。 3.向個人履行告知義務,包括告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項。 4.事先開展個人信息保護影響評估。 上述第1/3/4項合規要求相對明確,而對于《個人信息保護法》第38條所規定的條件應如何選擇適用,有待法規進一步明確。根據《個人信息保護法》第40條,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估。關鍵信息基礎設施運營者的判定可參考《關鍵信息基礎設施安全保護條例》,必要的情況下可與主管機關進行溝通確認。對于“國家網信部門規定數量的個人信息”目前并沒有生效的法律作出明確規定。《數據安全條例》第37條中規定,處理一百萬人以上個人信息的數據處理者向境外提供個人信息屬于應當通過國家網信部門組織的數據出境安全評估的情形。這一標準和《評估辦法》的規定一致,但《評估辦法》還將累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息的情形納入需要申報數據出境安全評估的范圍。因此,從立法的趨勢來看,處理一百萬人以上個人信息似乎在網信部門立法層面具有一定的共識,但該數量是否可能發生變化,以及是否還包括其他情形,仍需以最終頒布的法規為準。 對于個人信息保護認證,《網絡安全條例》明確要求數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證。這就意味著無論是境內的數據處理者還是境外的接收方,均需達到規定的個人信息保護水準。 此外,《網絡安全條例》第39條還規定了數據出境情況下數據處理者的其他義務,譬如接受和處理用戶投訴、依法承擔數據出境對個人、組織合法權益或公共利益造成損害的責任、要求留存相關日志記錄和數據出境審批記錄三年以上等。 (二)重要數據出境合規要求 除個人信息外,目前的法律法規中另一重要的數據類型為重要數據。根據《信息安全技術 重要數據識別指南(征求意見稿)》,重要數據是指“以電子方式存在的,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據”。重要數據的識別對企業開展合規而言尤為重要,依據定義往往無法有效識別。《網絡安全條例》第27條要求各地區、各部門按照國家有關要求和標準,組織本地區、本部門以及相關行業、領域的數據處理者識別重要數據和核心數據,組織制定本地區、本部門以及相關行業、領域重要數據和核心數據目錄,并報國家網信部門。這一規定如盡快落實對企業合規屬重大利好,能幫助企業迅速、有效地進行重要數據的識別。 關于重要數據出境,《網絡安全法》第37條僅規定關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據,因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。但《數據安全條例》和《評估辦法》均規定出境數據中包含重要數據即屬于應當進行安全評估的情形。這一規定不再限制數據收集和產生的主體,即任何主體出境的數據中包含重要數據的,均應進行安全評估。《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》第24條也規定了工業和電信數據處理者在中國境內收集和產生的重要數據,應當依照法律、行政法規要求在境內存儲,確需向境外提供的,應當依法依規進行數據出境安全評估。 因此,雖然目前法律僅明確規定關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據出境需進行安全評估;但從立法的趨勢來看,重要數據的出境一律要進行安全評估的概率較高。 此外,即便重要數據不屬于個人信息,按照《評估辦法》的要求,其出境前也需開展數據出境風險自評估,境內數據處理者與境外接收方需簽署合同或其他具有法律效力的文件等。 值得注意的是,除了重要數據以外,《數據安全條例》和《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》中都提及了核心數據。核心數據的重要程度高于重要數據,因此,《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》中明確規定,核心數據不得出境。 (三)其他數據出境的合規要求 除核心數據、重要數據和個人信息以外的數據,其本身應不涉及國家安全、公共利益及個人利益(為本文行文便利,簡稱“其他數據”)。因此,其他數據的出境似乎無需加以嚴苛的限制。然而,《數據安全條例》第35條的規定實質上將《個人信息保護法》第38條中對個人信息出境的要求擴大適用至所有網絡數據。《數據安全條例》中的網絡數據是指任何以電子方式對信息的記錄。從這個定義來看,在當下這樣一個高度電子化的時代,幾乎所有的數據都將被囊括在內。如最終頒布的《數據安全條例》保留了征求意見稿中的第35條,將意味著其他數據出境也需要落實個人信息保護認證或簽署標準合同等合規措施。 三、 小結 從目前的立法來看,數據總體上被分類為核心數據、重要數據、個人信息及其他數據。在開展數據出境合規時,需首先識別所出境的信息包含的數據類別,并根據數據類別及數據量綜合判斷所需落實的合規措施。同時,作為企業,還需明確自身是否屬于關鍵基礎設施的運營者。在目前法律法規尚未完全落地的情況下,如對數據類別及是否屬于關鍵基礎設施的運營者存疑的,應采取審慎的態度進行評估,必要時可征詢主管機關的意見。
